查看: 40062|回复: 177
上一主题 下一主题
收起左侧

[分享] 用“无毒空间”干掉“改变你的一生”木马

  [复制链接]
无毒空间
跳转到指定楼层
1
发表于 2010-12-8 12:37:44 | |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 无毒空间 于 2011-6-16 15:22 编辑

改变你的一生木马确实是花了一些工夫的NB木马,接管内核,干掉杀软,疯狂下载子木马,不断更新免杀模块,等等招数都让中招的用户非常头痛。这些招数对付传统的杀毒软件有效,但在无毒空间眼里基本就是杂耍... ...
----本文转自无毒空间官网,增加了部分内容,注释更详细。

改变你的一生”木马确实是花了一些工夫的牛逼木马,接管内核,干掉杀软,疯狂下载子木马,不断更新免杀模块,等等招数都让中招的用户非常头痛。这些招数对付传统的杀毒软件有效,但在无毒空间眼里基本就是杂耍。
下面就演示一把无毒空间大战“改变你的一生”木马,说是大战,有点夸张,习惯说法,准确的描述是“小菜一碟”。
演示环境:
Windows XP sp2
无补丁
无防火墙
PS:本测试故意做了断网处理,这个木马非常疯狂,不断从网上下载新的版本以逃避查杀,如果联网操作,无毒空间需切换至增强保护模式才能将其搞定,这是更加高级一点的技巧,有机会专门介绍无毒空间增强保护模式的使用方法。

样本制作:上挂马网站,故意中一下“改变你的一生”木马。
中马后的电脑桌面有“改变你的一生”等快捷方式,指向某几个网站,无法删除。
电脑运行速度变慢,关机及重启均有延迟。
任务管理器能看见假冒的qq.exe kav.exe等可疑进程。

截图如下:


安装无毒空间,看看能发现什么?
安装过程(略)
重启计算机等无毒空间正常工作后(蓝色人头在托盘稳定显示,当然全盘免疫完成后更好,电脑速度高的问题不大),
点击"分析"按钮。


有经验的用户马上就能看出这中间除了Vfsetup.exe是我们自己无毒空间的安装程序之外,其它的程序都或多或少有些问题?
原因如下:
safemon.dat,这个文件的疑点多多:正常系统的C盘根目录下不应该有这样的文件;冒充dat数据文件,实为执行文件;文件名是安全监控的意思,保不齐是反义词。
qq.exe,一个证据就可以判它为木马,还没有见过qq在temp临时目录下启动执行的。当然在任务管理器里看见qq.exe确实有足够的欺骗性,但无毒空间捕捉的是程序加载执行时的路径,这样就几乎不用劳神研究了,铁定是木马。
suossu.dll,这个程序是随机文件名,使用了巨大文件的招数对付云查杀,是木马辅助程序。
itss.exe,在回收站里执行的程序,想都不用想,木马!这个程序还是一个对付云查杀的巨无霸文件(17兆之大)。
game8.exe,windows系统文件夹里,居然执行了一个貌似游戏的程序,木马。
kav.exe,冒充杀毒软件的名称,在windows系统文件夹里执行,木马。
tvplus.sys,显示厂商为CCTV,中央电视台的驱动?没装过呀,木马。
当然,朋友们自己判断有困难的话,最简单又可靠的办法就是上传Virustotal.com扫描一下,看看国际知名的43家杀毒软件怎么判断的!

友情提示:
首次使用无毒空间的朋友们可以一个个上传后再确认结果,
以便获取一些这类可疑程序的处理经验,
同时也对自己的电脑吃个定心丸。

逐个检查可疑程序的相关截图如下:

杀软们的云查杀就引来了木马制作者的一个应对招数,将文件做成几十兆的巨无霸模式,上传会出现很大麻烦。
1、云查杀上传文件尺寸可能有限制,一般10M、20M都有可能;
2、文件太大,网速不好的话,上传时间可能很长。


欺骗用户是木马制作者惯用的招数,取名有时也显示出制作者搞笑的一面,
为什么将恶意程序标明为中央电视台做的呢?!


发现木马后,无毒空间的标准处理流程如下:

选中禁止-->标记可疑程序为不可执行的程序;
关闭主界面-->经常会禁止一组程序,无毒空间在关闭主界面后,才更新数据库;
重启-->木马们已经执行,有些还是内核程序,重启才能彻底剥夺其控制电脑的权限。  


重启后能看见无毒空间自动禁止了木马们的加载行为,虽然无毒空间没有删除任何程序,但木马们都已经歇菜。
这时这些木马已经是地地道道的“死马”了,要杀要剐全凭用户的喜好。


下图的回收箱显示,我们顺利的删掉了“改变你的一生”及“淘宝购物”的快捷方式,掐掉了木马的赚钱路子。
显然,这个删除动作能顺利完成,表明我们已经夺回了木马对电脑的控制权。

从上图的禁止清单上我们也能看出点名堂:
原本我们禁止的是一个动态链接库程序suossu.dll,结果在实际禁止操作时,禁止的却是一个名为tabit.exe的可执行程序,执行地点居然是用户电脑的回收箱,这个现象刚好暴露了木马暗渡陈仓、转移程序、躲避查杀的诡异招数。
实际上这个例子具有一定的代表意义,抓住木马制作者的心理,是无毒空间能够顺利将木马拿下的最本质的原因。
朋友们经常使用无毒空间查杀病毒木马,就会不断积累对付恶意程序的经验,有时还能跟病毒木马学一些另类的电脑知识;
如果朋友们只使用杀毒软件自动查杀病毒木马,恐怕就不会有这么好学习及实战的机会了。

实践证明:
经常使用无毒空间分析各种含有可疑程序电脑,
能迅速将自己培养为程序鉴别高手及未知木马查杀专家!

PS:手工查杀病毒的技术门槛很高,朋友们可以通过无毒空间入门,积累足够的电脑知识后,
再使用Sreng,Icesword,Wsyscheck,Xuetr等更加专业的手工查杀毒工具,就会相对容易一些。

评分

参与人数 1经验 +60 魅力 +1 收起 理由
屁颠屁颠 + 60 + 1 版区有你更精彩: )

查看全部评分

屁颠屁颠
2
发表于 2010-12-8 13:03:29 |
本帖最后由 屁颠屁颠啊 于 2010-12-8 13:07 编辑

无毒空间可以自定义白名单吗?
在提示信息那里能否换成对某个程序的解释说明?
这样的话能让大家更容易上手

大家也可以给楼主提下自己的建议,如果建议被采纳,将会获得NIS或ESS正版激活码奖励哦~~~
apcclxj
3
发表于 2010-12-8 13:04:43 |
好文章,还没有新版本吗?
无毒空间
4
 楼主| 发表于 2010-12-8 13:14:04 |
屁颠屁颠啊 发表于 2010-12-8 13:03
无毒空间可以自定义白名单吗?
在提示信息那里能否换成对某个程序的解释说明?
这样的话能让大家更容易上 ...

无毒空间定义白名单的设计为用户许可的就是白名单。
有关提示部分,我们也是两难,显示多了有点罗嗦,显示少了,又有点不足。
我们会想出一个合适的办法来满足不同用户的需求的。
无毒空间
5
 楼主| 发表于 2010-12-8 13:16:06 |
回复 3楼 apcclxj 的帖子

正在加紧研发,业余时间不够多啊。
找不到新用户名
6
发表于 2010-12-8 13:28:37 |
满眼风光无毒空间
还是暂停一下吧,不然就要变无毒空间官网教程区了
无毒空间
7
 楼主| 发表于 2010-12-8 13:31:21 |
回复 6楼 找不到新用户名 的帖子

不好意思啊,说多了,见谅!
找不到新用户名
8
发表于 2010-12-8 13:34:43 |
回复 7楼 无毒空间 的帖子

大概什么时候出新版
功能更完善就好了
aiyaya8
9
发表于 2010-12-8 13:39:21 |
这么牛x,看来要玩玩了
对了,貌似楼主在下载站做过广告吧,链接还是卡饭的
无毒空间
10
 楼主| 发表于 2010-12-8 13:48:12 |
本帖最后由 无毒空间 于 2010-12-8 14:41 编辑

回复 9楼 aiyaya8 的帖子

有几个未曾谋面的朋友一直在学雷锋,宣传无毒空间,我说:“宣传我们没有酬劳啊,几个穷技术员很难答谢大家的,只能找个机会请大家撮一顿...”。
后来细聊才知道,无毒空间帮他们解决了一些问题,他们看是免费工具,就义务帮我们了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-20 13:39 , Processed in 0.103641 second(s), 9 queries , MemCache On.

快速回复 返回顶部 返回列表